• 本期设置1000S豆随机奖励,参与讨论就有机会领取20S豆~~~
    作为一名深耕算力中心架构与分布式存储领域的“老兵”,最近在各大行业会议和技术沙龙中,我们听到频率最高的一个词就是 KV Cache 。 伴随着 DeepSeek 等国产大模型的强势崛起,不少用户陷入了“显存焦虑”:担心 GPU 显存被 KV Cache 撑爆;担心不立刻部署昂贵的 KV Cache 存储卸载方案,自家的 AI 应用一上线就会崩盘。 很多时候产生这类焦虑,其实是因为对 KV Cache 的底层机制还不够熟悉,同时在企业 AI 落地的优先级判断上,也还在摸索更清晰的方向。结合我们在客户侧的实际落地经验,希望能和大家一起冷静思考、客观判断。 回归本质KV Cache不是“内存杀手” 想要摆脱显存焦虑,先要破除一个认知误区。 KV Cache到底是什么? 本质上,它是大模型推理时的“中间状态速记本” 。由于大模型是自回归生成(逐字输出),生成第 N 个词时,需要参考前 N-1 个词的计算结果 。如果没有这个“速记本”,模型每输出一个字都要把前面的内容重算一遍,推理延迟会呈指数级飙升,会直接导致对话卡顿、用户体验崩盘。 这就导致了一个常见误区:误以为历史对话和企业知识都挤在 KV Cache 里,所占用的空间不可控! 事实并非如此,需要明确区分两点: 1、KV Cache 仅缓存正在进行的、活跃对话的推理数据 一旦会话结束或处于不活跃状态,它只会占用硬盘空间,而非昂贵的显存或内存空间 。而跨会话的“全局记忆”或企业知识库,通常依托向量数据库或图数据库等方案实现,和KV Cache的临时缓存范畴完全不同,二者不能混为一谈。 2、KV Cache的规模是可精准计算、可提前预测的指标 以 DeepSeek-V3/R1 满血版671B模型为例,其采用了 MLA(多头潜在注意力机制),通过数学压缩将 KV 信息转化为低维向量,单个 Token 产生的 KV Cache 仅 35KB~70KB (具体取决于 KV 缓存的精度设定)。 我们可以算一笔账: 一个标准的日常办公场景,如果一个用户的对话上下文是2000个Token,占用的空间仅为 140MB ,还不到一部高清电影体积的零头; 一台标准的 8 x H20 服务器,配备768GB显存 。扣除模型权重(FP8 量化约 671GB)后,剩余显存配合2TB的系统内存进行交换(Swapping),理论上可支撑 10000+ 并发用户,完全满足绝大多数用户的常规AI业务需求。 综上,对绝大多数用户而言:现有的 GPU 显存 + 系统内存+NVMe SSD的KV Cache保存方案,搭配合理的换入换出机制,满足绝大多数用户场景的需求绰绰有余。 行业现状KV Cache卸载方案标准尚未统一 KV Cache作为大型云服务商或 Agent 深度应用场景的技术方向,我们不否认其价值。但用户必须认清当下的技术现状,KV Cache卸载方案众多,仍缺乏统一的标准。 目前市场上有四类KV Cache卸载方案在“激战”—— 英伟达 ICMS (In-Context Memory System)英伟达CES 2026推出的官方架构,利用 BlueField-4 DPU 硬件实现存储管理和语义级的“前缀共享” ,性能强大,但可能存在硬件绑定和成本过高的问题。 开源社区方案 (如 LM Cache)尝试通过中间件实现模型的 KV Cache管理和共享,在软件栈内部实现资源调度。 推理框架原生方案 (如 vLLM, SGLang)利用 PagedAttention 等分页管理思路,在框架层内部实现显存与内存的置换。 存储厂商私有插件方案通过在 GPU 节点安装插件,进行 I/O 拦截与重定向。当显存达到警戒线时,插件会“接管”数据块并将其写入外置闪存存储,但这类方案通常缺少“语义理解”能力。 综合来看,以上方案在生态适配、语义理解能力以及资源占用上差异巨大 。对用户来说,在统一标准成型前,过早建设非标的KV Cache卸载方案,极易成为未来的“技术负债”。 优先级纠偏企业AI应用落地的当务之急是什么? 理清KV Cache的本质和行业现状后,用户更要找准AI落地的核心矛盾:进入AI Agent时代,大模型的瓶颈往往不在于KV Cache存不下,而是内部数据查不到、调不动。 如果说 KV Cache 是模型的“瞬时记忆”,那么 AI 数据湖就是用户的“永久知识库” 。模型强不强,不再取决于它背了多少“书”,而取决于它能不能实时调动内部的数据积累。 因此,我们建议用户对KV Cache的规划可以遵循以下“三步走”战略: 第一步:降温,盘活现有资源利用好现有的内存和 NVMe SSD 做KV Cache卸载,足以支撑绝大多数的业务需求,暂缓为了解决一个尚未发生的担忧引入复杂的解决方案。 第二步:筑基,优先规划AI数据湖AI数据湖是 Agent 落地的“必要基建”,优先规划统一的AI数据湖,构建企业级专属“知识中台”。选择支持高性能全闪存、具备海量小文件并发处理、分级能力存储系统,构建Agent的数据基座。 第三步:保持关注,静待方案成熟密切关注各类KV Cache方案的演进情况,等到 Agent 真正落地、超长上下文成为刚需时,再按需切换到成熟的、标准化的KV Cache 卸载方案上。 面对KV Cache热潮,保持理性判断,分清落地优先级更为重要;抓准AI落地的核心数据基建,也远比仓促部署尚未成熟的缓存卸载方案更为稳妥。
    对于FastGPT深信服商业版客户想要,但不敢买?​怕上手难、怕缺少专业指导、怕正式采购后用不好产品、怕投入打水漂……怎么破?用一场集中培训,让客户亲自验证产品价值《FastGPT深信服商业版实战研修班》全国巡讲计划正式启动!两天线下集训,理论+实操+一对一指导,零基础也能快速上手。客户在培训中深度体验产品逻辑,对价值的认知从“功能列表”升级为“业务可落地”,为采购决策注入强心针。通过考核者,还可获得工信部+深信服联合认证,培训成果可衡量、可汇报。 研修班核心信息 培训主题: 《Sangfor Agent Builder 平台应用与实操技能专项培训》 培训形式: 线下1~2天:理论+实操+答疑+一对一指导 培训地点: 全国各地 培训时间: 2026年6~9月 参训人群: 客户开发、运维、AI业务相关技术岗 培训费用: List价4200元/人;普通渠道7折、金牌6折、总代5折 限时福利: 2026年7月5日前下单,前10个项目额外享5折优惠 培训证书: 工信部AI应用开发专家证书 + 深信服Sangfor Agent Builder证书 培训目标: 客户熟练掌握产品核心操作,能自主搭建业务助手,彻底打消“不会用”的顾虑; 客户深度认可深信服AI产品及服务能力,建立长期合作信心 报名咨询:李老师(18511696946) FastGPT深信服商业版实战研修班-招生海报
    发布了新版本:

    AD 7.0.29R1 重磅上线!Beta 招募:新功能抢先测,等你来体验!

    全面提升性能吞吐与高可用能力,同时通过授权热变更、SNMP/API优化、日志性能提升等多项增强,实现"更高性能、更易运维"的产品升级。 阅读全文>>
    • 2026年06月6日 15:11
    一、客户需求:采购清单背后的“能力焦虑”近期,广东联通某安全项目招标中,客户不仅对安全运营平台等设备提出了性能要求,更提出了超越产品采购的深层人才培养需求:绑定原厂认证的系统化人才培养机制,将培训认证列为项目核心验收指标。https://wework.qpic.cn/wwpic3az/950854_t3qQ2jbWRfOpEJb_1781658166/0 招标文件截图这一指标揭示了客户的三大核心需求: 能力验证刚性化:培训效果必须可衡量、可验证,原厂认证证书是唯一的、具有公信力的标准。 人才培养体系化:非一次性讲座,而是需要系统化的课程、考核与认证闭环,确保知识有效转化。 业务绑定深度化:将人员能力达标与项目最终验收、款项支付直接关联,体现了客户对“人才成功”与“项目成功”同等重视的决心。 客户的深层需求显而易见:采购一套先进的安全运营平台,仅仅是第一步。他们更迫切的需求是确保运维团队能深度掌握、熟练运营这套平台,最大化释放产品价值,从而真正提升整体安全防护与运营水平。 二、深信服方案:提供“产品交付+人才培养”一体化赋能体系我司深刻理解客户的期望,并未将培训与认证视为产品的附属服务,而是将其作为整体解决方案中不可或缺的核心组成部分。在本项目中,我们打破传统“卖完产品即结束”的模式,将产品交付与人才培养深度耦合,构建了一套“产品到位、技能到手、能力生根”的一体化赋能体系: 产品交付:提供高性能安全运营平台,满足业务刚需; 人才培养:同步嵌入原厂认证培训,确保团队从“会用”到“精通”; 成果绑定:将人员认证通过率与项目验收挂钩,倒逼知识内化与实战转化。 通过这一体系,我们实现了一次交付、双重落地——既交付了先进的安全产品,也为客户留下了可持续进化的安全运营能力。https://wework.qpic.cn/wwpic3az/102914_v943bQbZQ86clbU_1781658167/0https://wework.qpic.cn/wwpic3az/110563_b2M0SFlpQdesRLU_1781658167/0 采购合同截图(部分) 三、价值总结:从“项目交付”到“能力共建”的范式转变通过本项目,深信服与运营商客户共同实践了一种更高阶的合作模式: 解决了“重建设、轻运营”的行业痛点:安全运营类产品不同于传统安全设备,需客户真正“用好”才能发挥运营效果、兑现产品价值。因此,培训至关重要——它帮助客户理解产品设计逻辑,减少非必要定制需求;也让客户更熟练使用工具,释放原厂与渠道支持精力。 构建了长期信任的伙伴关系:运营商历来重视人才能力建设。深信服提供的不仅是产品,更是帮助客户团队成长的能力。当客户因我们的培训而变得更专业,双方合作将从简单的供需关系,升级为共同探索最佳实践、共筑安全能力的战略伙伴关系。 XDR培训认证服务交付模式项目配套的【XDR培训认证服务】分为三种交付模式,具体交付内容及收费标准,见下图所示: XDR培训认证服务下单路径 物料上架位置:已上架在【分布式XDR软件】和【国产化分布式XDR软件】两款产品的服务下,可直接下单。 SCP选型路径:安全BG产品 → AI安全运营 → 分布式XDR软件/国产化分布式XDR软件 → XDR平台 → 服务 → XDR安全运营培训服务。 四、关于培训认证服务FAQQ1:XDR已有安服初始化服务,里面包含了培训,为什么还要单独采购培训认证服务?这两项服务互为补充、各有侧重,但是核心目标一致,都是助力客户用好产品。 专项培训认证:侧重为客户搭建一个整体理论框架,让客户能够从全局视角充分理解如何开展并做好安全运营,解决“看不懂、不会统筹”的问题。 安服初始化培训:侧重于具体运营中的技术细节与操作执行,二者定位各有侧重。 例如:部分客户反馈,若直接讲解技术细节,容易难以理解;理论框架先行,更有利于后续实操吸收。 Q2:产品培训难道不是客户购买产品后的配套服务吗?为何要单独付费?过去,各区域的培训水平参差不齐,交付质量完全依赖个人能力,效果无法保障,且无权威成果认证。如今,我们将其打造为一项专业的增值服务,从四大维度提升交付质量及客户满意度: 课程基线标准化:专职讲师团队,基于场景讲解原理,制作标准化课件并持续更新维护;还配套了专业学习平台及体系化视频课程。 讲师基线规范化:产教专家讲师+区域一线讲师,所有授课讲师均通过严格考核持证上岗,保障授课专业性。 授课基线流程化:依托标准SOW服务范围与SOP执行流程,全程规范化交付,杜绝授课随意化、流程碎片化。 学习成果可量化、可汇报:客户完成培训并通过考核后,可获取深信服技术认证+工信部联合认证证书,能力成果官方认可、可落地汇报、可纳入团队资质考核。 五、XDR培训认证服务宣传海报(欢迎直接转发客户及合作伙伴)https://wework.qpic.cn/wwpic3az/57381_6KafV_L0QDCoRTR_1781658169/0 https://wework.qpic.cn/wwpic3az/36334_-RRSPiOoRQmfjEi_1781658167/0 接口人:培训认证部 李丹(15925)访问support.sangfor.com.cn,获取更多支持
    用FastGPT搭建岗位模拟面试Agent的实战手记 故事从一个崩溃的周五开始 我们电厂要搞年度中层晋升评审。20个候选人,6个专家评委,排了3天档期。结果周五下午,两位评委临时出差,整个排期全崩了。 HR来找我:"兄弟,能不能想想办法?" 我能有什么办法?一个搞IT的,又不是做人力资源的。但那天晚上回家,我盯着手机里的AI助手发呆——能不能让AI当面试官? 不是那种随便聊两句的聊天机器人,而是真正能出题、追问、评分、出报告的模拟面试。 第二天早上,我打开了FastGPT。 从0到1:我是怎么把AI训练成面试官的我先把电厂几个核心管理岗位的胜任力要求理清楚——企业负责人要懂安全合规和应急管理,财务总监要懂成本管控和风险预判,办公室主任要懂跨部门协调和立即响应。 然后在FastGPT里搭了一条工作流,逻辑很简单: 选角色 → AI出5道场景题 → 逐题作答 → 四维度评分 → 出评估报告 核心踩了三个坑: 坑1:AI出的题太"通用"。一开始不管选什么岗位,AI出的题都像公务员考试。后来我在Prompt里硬塞了"电厂"这个上下文,并且要求"必须基于该岗位真实工作场景出题,不能是泛泛的管理题",题目质量直接起飞。 坑2:用户答题节奏不对。一开始5道题一次性全抛出来,用户要么乱答要么只答前两道。改成"先看题→表单作答→下一题"的节奏后,沉浸感完全不一样,就像真的在面试。 坑3:评分飘忽不定。AI评分最大的问题是"给分太温柔",人人都80+。我调整了评分Prompt,要求"严格按四维度打分,每维度必须给出具体扣分理由",评分区分度明显提高。 效果:3天→1天,6个专家→0 我拿真实数据说话: 对比项 传统专家面评我的Agent 单人次评估耗时60分钟20分钟 专家人力投入2人/场0人(AI自动) 题目开发周期2周/岗位即时生成,0等待 评分一致性因人而异,偏差大标准统一,偏差<10% 上次那20人晋升评审,用Agent做初筛,1天搞定。专家只需要对高分候选人做终面确认就行。最让我意外的是,有个候选人跟我说:"比真人面试官还紧张,因为AI不会给你面子,答不好就是答不好。"这句话让我觉得,这东西真的有用。 不止电厂,所有行业都能抄 我这个Agent的架构是"角色选项+评分Prompt"驱动的,电厂只是我当前的行业。理论上: 制造业的厂长胜任力评估——换角色选项和行业Prompt 银行的支行行长竞聘——换角色选项和行业Prompt 医院的科室主任选拔——换角色选项和行业Prompt 一次搭建,全行业复制,边际成本趋近于零。 特别适合大型集团企业做人才盘点、竞聘上岗、培训效果检验,不用每次都拉专家排期了。 三点真心话 1. AI不会取代面试官,但会让面试官只做最有价值的事——终面判断,而不是机械出题和初筛 2. 低代码不是"低智商",FastGPT的工作流编排比我想象的灵活得多,关键是你对业务的理解有多深 3. 最大的坑不是技术,是Prompt——同样一个节点,Prompt写得好不好,效果天差地别Agent名称:环保能源角色扮演(电厂岗位模拟面试Agent) 搭建平台:SF-FastGPT工作流 参赛:Agent Builder 企业级 Agent 实战挑战赛 如果你也在做人才评估,或者只是好奇AI面试官到底靠不靠谱——试试就知道了。有问题评论区见
    7.69万亿Token! OpenRouter最新数据显示,5月11日~5月17日一周,中国大模型周度总调用量约达7.693万亿Token,已达美国的1.81倍,连续三周登顶全球。 中国AI产业正在全面爆发,各行业的Agent应用发展更是迅猛。对企业来说,管好这些Agent并不容易,首先难算清的就是“成本账”——算力使用情况看不清、Token资源浪费管不住、AI投入省不下。一个3000人的研发团队,一个月的外部调用费用可能高达百万元。这中间有哪些是简单诉求调用了最贵的大模型,造成资源浪费;又有哪些是核心业务场景跑着跑着,突然就算力不够用了? 为了帮助各行业用户实现AI模型和算力的高效治理,深信服发布AI算力网关,与用户共同应对AI Agent时代的算力挑战! 我们先简单介绍一下: 深信服AI算力网关,是用户自己的“AI算力智能调度中枢”,能为用户实现Token治理、成本治理、安全治理。通过强大的可见性,以及“看到 - 管好 - 用好”的全生命周期护航,将AI能力转化为驱动业务持续增长的核心引擎,让用户的每一份算力都看得清、管得住、省得下、用得稳、更安全。 用深信服自己来举例,我们有3000人的研发团队,在用上AI算力网关之前,每个月Token花费上百万,AI Coding本地算力成本上亿。现在,通过AI算力网关对算力的调度及一系列的优化手段,外部Token调度成本每月可节省40万+,本地算力成本直降数千万! 具体是怎么做到的?深信服AI算力网关从3个层面解决问题。 01:3个角度,方方面面搞定Token治理Token用了多少、用在哪里,搞不清、管不住;模型频频卡顿出错,业务稳定性无从谈起。要让AI转型更高效,就得先治理好Token资源,在这方面,我们能帮用户做到:看得清、管得住、用得稳。 看得清:强大的算力+模型可见性,提升AI落地效率如果你还在经历:各种算力买了很多,使用量很大,但难以获知各部门Token的使用情况,有了深信服AI算力网关之后,一切状况都能看得清了。我们从多个维度实现全局可视—— 开放兼容、统一入口,所有算力及模型资源皆在眼前通过统一的入口,我们可以看见各类云端模型、本地和租赁算力,在统一的管理界面里,用户可以直接完成模型和算力资源的接入。 各类模型接入兼容OpenAI和Anthropic等协议,各类算力的接入也不会被算力平台厂商绑定。当需要扩展更强大的模型服务时,无需改造AI应用即可快速获得最新模型能力,并由AI算力网关统一对接。 可视可控,Token用量一览无遗,加速AI转型AI算力网关可以进行精细化用量统计,用户可分别从业务组、应用等维度看见Token的调用量、消耗额度、成功率、配额等情况,从而有效推动各部门AI转型、推动明星AI应用的推广。 通过打造强大的可见性,我们希望帮助用户以细颗粒度的Token治理,真正看清算力资源的状况,让AI创新在组织内的落地速度得到数倍提升。 管得住:AI算力精准管理,让每一分算力用有所值各部门都说算力不够用,但这些资源到底有没有用在真正有价值的场景?有了AI算力网关,AI资源的管理和控制就有了科学手段,想知道算力用在哪、哪些业务需要重点保障,都没问题。 在AI算力网关里,我们可以按照组织架构和API Key进行配额管理,管理员可以为下属组织和员工设置Token费用配额。为保障重点业务的运行,还可以对不太关键的需求或异常请求进行精准限流,让算力优先流向更有需要的地方。 AI算力网关通过对Token的精细管控,可以让全局Token消耗降低50%,核心业务AI算力保障能力提升2-3倍。 管好算力资源之余,AI算力网关还能帮助用户更好地管理显卡资源。我们将私有基础设施服务化,实现本地算力API Key的管理和限流,模型服务也可进行多Key精细化权限控制,满足不同部门的资源需求,显卡资源利用率倍增。同时,面向所有算力建设,我们提供GPU基础设施服务化能力,现在已经完成业界主流显卡的兼容适配,各类新卡新模型可快速适配。 用得稳:让AI业务运行更稳定、更可靠把AI算力管好了、治好了,我们还需要关注AI业务的实际运行够不够稳定。在这方面,AI算力网关主要从两个方面发力——创新技术模型聚合路由,让单点故障不再影响业务,敏态AI业务体验更流畅可靠模型服务一旦出现卡顿、异常,甚至宕机问题,就会严重影响业务的正常运转,带来业务损失。AI算力网关通过配置跨本地资源池、跨模型供应商的轮询调度策略,来避免业务高峰单点模型服务过载故障,保障服务流畅稳定。 同时,我们还可以通过配置本地算力+云端模型优先级策略,让云上云下的模型弹性切换,自动分流,缓解高峰压力,从而保障AI业务的流畅运行。 平台自身生产级可靠,匹配生产级核心业务需求除了规避故障风险,AI算力网关本身具备生产级可靠性,以极低开销时延、多实例热备能力和高可靠基础设施底座,保障用户的生产业务体验。 在看得清、管得住、用得稳之余,AI算力网关还为Token治理配置原生Agent,CEO、财务、HR、CIO、研发等各角色,只要向它提个问,就可以在此获取Token投入与业务成效的投入情况,一目了然。 02:关键技术加持,分分钟搞定成本治理当用户的AI建设越来越深入,和成本挂钩的难题就会越来越多——云端各种MaaS模型如何选择?算力不够只好堆显卡?云端和本地哪个更划算? 深信服全力打造创新技术,为用户持续、大幅降低本地算力和模型费用。 省得下:创新技术加持,让AI越用越省钱传统的模型调度方式基本是黑盒化,各类问题都可能去调用最贵的模型,导致企业成本居高不下。本地算力也存在类似问题,如异构品牌显卡算力不均,导致大参数资源池算力不够用,中小参数模型资源池却利用率低下。现在,AI算力网关可以帮忙优化这类成本难题了。 深信服创新自研的智能路由引擎,就是AI算力网关实现成本优化的核心技术之一。 智能路由引擎有两个硬核的特点: 可解释性高:支持在页面端实时追溯不同场景下的决策因子,这种白盒化的调度机制,让用户对每一笔算力流向都心中有数。 准确率高:深度适配OpenClaw等典型Agent请求特征。通过对任务意图的精准分类,AI算力网关能确保不同类型的AI诉求都能匹配到最合适的算力资源。 因此,AI算力网关可以实现精准判断并将简单的问题调度到更简单的模型,将复杂问题调度到顶尖模型。保障效果的同时,用户每月可节省约50%的成本!而针对本地算力的使用,我们也有创新技术突破,可实现大幅成本优化。 对于大量大小模型混合使用的Agent构建场景如Embedding、Reranker、OCR、TTS等,AI算力网关支持算力1%,256MB级显卡资源切分,单卡承载模型数量可翻8倍以上,显卡越高端、模型使用越多,越省钱。 对于重载AI应用场景深信服AI算力网关通过自研的自适应架构层,提供工具、集成的监控等手段,来辅助定位应用场景的性能瓶颈,再结合自适应的原子优化能力,实现应用端到端承载的ROI提升。 如AI Coding场景,我们可以实现本地算力的ROI提升2~5倍起! 03:告别翻车,轻松搞定安全治理Agent的大量落地本身会带来巨大的安全风险。应用隐私数据无管控造成核心资产泄露、智能体自行删光数据信息等等,“翻车”事件频频发生。 更安全:核心资产不泄密深信服AI算力网关继承了深信服自身的安全基因,在这方面做了充足防护。 AI算力网关集成深信服大模型安全护栏,对接简单,一键即可开启,应用端无需改造即可根据不同的路由灵活配置安全策略,保障核心资产不外泄,业务运行更安全。 AI落地、算力爆发,深信服AI算力网关不同于业界通用API Gateway、单一MaaS平台或单点优化工具,我们不是“替代一切”,而在于补齐各行业用户在AI供给侧最缺失的治理与调度中枢,助力各行业用户AI创新效率大幅提升,在AI转型中告别成本焦虑,轻装上阵,让每一笔投入都转化为实实在在的、安全可靠的AI生产力。 欢迎体验!
    数智化平台“先锋共创营”正在招募,加入即享5大专属权益!报名入群领1000S豆,限前30人先到先得->>点击立即报名 ————————————————————————————————————
    信服智创 | 参与得豆!2026技术征文大赛正式启幕! 本期案例为替换天融信防火墙ipsecVPN的方案分享 天融信防火墙新版的一些墙,在做ipsec vpn第二阶段填写感兴趣流时,并不是写多个网段,而是只能写一个网段,其他子网通过虚拟路由的方式打通。 那为啥不写多个网段的方式?因为天融信本地网段和对端网段配置框只能写一个段。 所以在深信服防火墙替换或者对接天融信防火墙时,按照正常逻辑配置感兴趣流的方式是行不通的,虽然第二阶段可以成功建立起来,但是你的网络实际上是不能正常通信的。 但是在防火墙8.0.107版本新推出了一个ipsec vpn 路由模式,这个路由模式跟上面提到的虚拟路由逻辑几乎是一模一样的,在第二阶段配置时只需要写加密算法即可,默认放通所有子网段,包括对端和本端都是全部放通的。 接下来给大家放图演示一下,配置也是肥肠的简单。1、下图是一个已经配置完成的界面,可以看到这里的隧道模式已经变成了路由模式。2、第一阶段的配置不变,跟标准配置ipsec的内容一致。3、在第二阶段时,有个与天融信的虚拟路由有些不同的地方,就是咱们得配置vpntun口,这个vpntun口需要配置IP地址,但是这个地址无所谓只要不冲突就行,不参与隧道传输。4、配置完成后可以看到感兴趣流的网段是全部。5、随后对端有哪些网段,直接通过静态路由的方式写过去,不需要写下一跳,接口选择上vpntun口就行,如果有多个分支,会用到多个vpntun口,只需要注意写对口就行。至此深信服防火墙8.0.107版本的ipsec vpn路由模式配置就完成了。其中需要注意的是:正常来说一个分支单独用一个vpntun口,如果需要一个vpntun口对接多个分支的话,需要在路由高级配置里面,写上对端的vputun口地址,这个功能没有用到过,看着只能自家防火墙对接的时候才会用到吧。 最后再给大家看一下天融信那边的配置,没有做过的可以熟悉一下界面。隧道建立配置路径:第一阶段:第二阶段【可以看到只能写一个网段,不能写多个】:隧道路由【跟咱们写的vpn路由逻辑一样】:
    信服智创 | 参与得豆!2026技术征文大赛正式启幕!利旧第三方服务器扩容深信服HCI集群实战资源瓶颈下的平滑扩展方案目录: 一、项目背景:76%的内存使用率,逼近n-1冗余红线 1、问题分析 2、客户诉求 二、方案设计:利旧,但不将就 1、方案评估 2、新增节点硬件配置 三、实施前准备:信息对齐是平滑接入的前提 1、软件版本对齐 2、硬件兼容性对齐 3、网络配置对齐 四、实施过程:从兼容性验证到平滑扩容 1、物理上架与连线 2、原集群健康检查 3、提前导入授权 4、新节点安装与集群接入 5、巡检验证与资源均衡 五、典型问题复盘 问题一:系统安装后无法进入系统——“消失”的启动项 问题二:虚拟存储扩容时硬盘不识别——HTTP 500背后的“硬盘坏道扫描超时” 六、实施结果与价值 1、资源变化情况 2、n-1冗余能力恢复 3、项目价值 七、项目经验总结 1、利旧扩容,“对齐”比“安装”更重要 2、第三方服务器最大的风险是不确定性 3、通用报错,要往“下一层”看 4、分批扩容,本质是“分步控制风险” 八、结语 一、项目背景:76%的内存使用率,逼近n-1冗余红线 某客户三节点深信服HCI集群已稳定运行近两年,承载核心业务系统及多套生产虚拟机环境。 近期在日常巡检中发现,集群资源利用率持续升高: 指标当前状态 集群节点数3节点 单节点内存1TB 集群总内存3TB 内存使用率长期维持75%+ 存储使用率55% 1、问题分析 (1)从表面看,业务仍可正常运行,但对于超融合集群而言,76%的内存占用率已经逼近n-1冗余安全红线。 (2)在n=3架构下,一旦任意节点故障,剩余两节点需要承载全部业务负载。 (3)按照现有资源占用情况测算:单节点故障后,剩余节点内存将接近满载运行,存在业务性能下降甚至虚拟机无法正常拉起的风险。 (4)与此同时,客户未来半年内还计划新增业务系统,扩容已成为必须解决的问题。 2、客户诉求 ①尽量降低扩容成本; ②不影响现有业务运行; ③保持集群冗余能力; ④尽可能缩短实施周期。 客户现场恰好有一台闲置的Dell R750服务器,硬件配置与现有节点比较接近。为应对资源瓶颈并控制成本,本次项目决定采用利旧这台服务器进行扩容。 因此,本次项目的核心目标也随之明确:验证第三方利旧服务器能否平滑接入现有深信服HCI集群。 二、方案设计:利旧,但不将就 1、方案评估针对本次扩容需求,我们评估了两种方案: 方案 优点 缺点 结论 新增官方节点官方兼容性保障,实施风险低成本高预算不满足 利旧第三方服务器成本低、盘活闲置资产存在兼容性、不确定性最终采用 虽然最终选择利旧方案,但“利旧”并不意味着“直接上线”。 对于HCI集群而言,第三方服务器接入最大的风险主要集中在以下几个方面: 1、CPU指令集兼容性 2、RAID卡模式差异 3、网卡驱动兼容性 4、硬盘配置是否合理 因此,本次实施的重点并不只是“扩容”,而是:如何让第三方服务器稳定、平滑地融入现有生产集群。 2、新增节点硬件配置 配置项 参数 服务器型号Dell R750 CPUIntel Xeon Gold 6342 内存64GB DDR4 3200MHz ×16,总内存1TB SSD4 × 1.6TB HDD8 × 8TB 三、实施前准备:信息对齐是平滑接入的前提 为了降低第三方服务器接入风险,实施前重点进行了“三类对齐”。 1、软件版本对齐 首先收集原集群信息:HCI版本、补丁版本、CPU信息。 新节点必须使用与现网完全一致的ISO版本进行安装。 2、硬件兼容性对齐 由于本次为第三方服务器利旧扩容,硬件兼容性是整个项目中风险最高的部分。 虽然新节点能够正常安装系统,但如果底层硬件存在兼容性差异,后续仍可能出现:虚拟机迁移异常、存储识别失败、网络性能不稳定、驱动兼容问题、集群节点告警、节点无法正常加入集群等情况。 因此,实施前重点对以下硬件进行了逐项核对与验证: 检查项 检查内容 目的 CPUCPU型号、指令集、虚拟化特性避免虚拟机迁移异常或兼容性问题 内存内存容量、频率避免性能不一致导致资源调度效果差 硬盘SSD/HDD规格、接口类型、健康状态确保存储扩容稳定性 网卡网卡型号、速率、驱动兼容性避免网络异常或链路不稳定 RAID卡RAID模式、固件版本保持存储逻辑一致 BIOS配置启动模式、虚拟化开关、节能策略避免系统安装及启动异常 3、网络配置对齐 提前梳理现网的:VLAN规划、MTU配置、链路聚合模式、VxLAN网络、存储网络规划。 原集群主机网络规划如下,新节点需尽可能保持一致: 网络类型 配置方式 存储网络双万兆口聚合 管理/业务/VxLAN双万兆口聚合(复用) 在此基础上,网络层面还有一个容易被忽略但非常关键的冗余设计: 聚合口成员端口必须跨物理网卡部署。 错误示例:网卡A的Port1与Port2做聚合 正确示例:网卡A的Port1与网卡B的Port1做聚合 这样设计的价值在于:如果某一整张网卡故障,聚合口不会整体中断,网络仍可降级运行,避免单卡故障导致业务中断。 本次实施中: 聚合口成员端口 存储网络聚合网卡A Port1 + 网卡B Port1 管理/业务/VxLAN复用网卡A Port2 + 网卡B Port2 该设计确保了网络层面的网卡级冗余能力。 四、实施过程:从兼容性验证到平滑扩容 整个实施过程分为四个阶段。 1、物理上架与连线 按照现网标准完成:万兆光口连接、聚合配置、VLAN配置、交换机侧LACP配置。 2、原集群健康检查 扩容前,使用集群自带的一键检测功能进行基本健康检查,重点确认:无异常告警、无存储异常、无节点告警、无网络异常,避免“带病扩容”。 3、提前导入授权 在扩容前,需提前为新节点准备并导入授权,确保新节点加入集群后功能正常。 关键原则:此操作务必在节点加入集群前完成。 具体操作步骤如下: (1)授权获取:销售授权下单后,会自动归属于客户的云图账号。 (2)授权合并:在云图平台上,将新节点的授权(2 CPU)加入到原集群的授权(6 CPU)中,进行统一管理。 (3)离线激活: ①从原集群导出设备信息。 ②在云图平台上进行离线激活操作。 ③生成新的授权文件后,导入回原集群。 ④结果确认:授权导入成功后,集群授权状态会更新为 6/8(已使用/总授权),表示原6个CPU授权已生效,新增的2个CPU授权已就绪,等待新节点加入后占用。 (4)注意事项:提前完成授权导入,可以避免节点因授权不足导致无法加入集群,这是扩容前重要的准备工作之一。 4、新节点安装与集群接入 使用与现网版本一致的ISO安装系统,随后加入生产集群,依次完成:管理网络配置、业务网络配置、存储网络配置、VXLAN网络配置。 完成网络配置后,再次使用一键检测功能对新主机的网络进行二次连通性验证,确保无误后开始存储扩容。 5、巡检验证与资源均衡 存储扩容完成后,利用巡检工具对平台进行全面巡检,确认无误后:手动迁移部分高负载虚拟机到新主机,或待系统自动触发资源负载均衡调度。最终确认:节点资源均衡、虚拟机运行正常、存储状态正常。 五、典型问题复盘 本次实施过程中出现了两个典型问题。虽然最终都成功解决,但排障经验值得记录。 1、系统安装后无法进入系统——“消失”的启动项 ① 现象 系统安装完成后重启,无法进入系统,反复进入BIOS或停留在启动设备选择界面。 ② 排查过程 进入BIOS检查启动顺序后发现:安装系统的RAID组并未被设置为第一启动项。系统虽然已经成功安装,但BIOS未自动调整启动优先级。 ③ 根因分析 第三方服务器的BIOS未正确识别新引导项,导致系统无法正常启动。 ④ 解决方案 手动调整BIOS启动顺序:Boot Sequence → 将RAID系统逻辑盘调整为第一启动设备 → 保存重启。问题解决。 ⑤ 经验总结 建议将以下内容纳入标准检查项:安装完成后检查BIOS启动顺序,验证RAID引导项是否生效。 2、虚拟存储扩容时硬盘不识别——HTTP 500背后的“硬盘坏道扫描超时” 这是本次项目中排查耗时较长的环节。 ① 现象 新节点加入集群成功后,进入虚拟存储扩容界面,却无法识别新增硬盘。页面仅提示:“服务器出错,无法完成请求(HTTP错误),请稍后重试。” ② 初期误判 由于报错信息过于通用,初期排查方向出现偏差: 1.怀疑存储网络异常; 2.怀疑RAID配置异常; 3.怀疑硬盘未正确初始化。 期间进行了 1.网络连通性检查; 2.RAID状态检查; 3.BIOS格式化硬盘; 4.拔插硬盘测试。 但问题始终未解决。 ③ 关键转折 当常规方向逐一排除后,尝试按F12打开开发者工具,查看接口返回详情。 一个HTTP 500错误暴露出来——不是前端页面问题,而是后端接口执行异常。 顺着这个线索,收集日志并上升给400技术支持团队分析后,最终确认根因:系统在扩容前会自动执行硬盘坏道扫描。由于利旧硬盘容量较大,扫描时间过长,导致后端接口处理超时,最终触发HTTP 500错误,前端无法正常获取硬盘列表。 ④ 解决方案 分批扩容 最终采用“分批扩容”方案: 第一批:仅插入一半硬盘。坏道扫描时间减少,成功完成扩容。 第二批:待第一批完成后,再插入剩余硬盘,再次触发扩容。 最终全部扩容成功。 ⑤ 经验总结 这个问题的关键启示在于: 1.HTTP500不是根因,硬盘坏道扫描超时才是。 不要只看页面报错,要深入API与后台日志层面。 2.利旧硬盘是最大的不确定因素。 建议提前检查SMART状态、提前做完整格式化,必要时提前做坏道检测。 3.分批扩容是有效的风险控制手段。 缩小故障影响范围,避免一次性扩容失败,同时提高问题定位效率。 六、实施结果与价值 1、资源变化情况 指标 扩容前 扩容后 变化 集群总内存3TB4TB+1TB 内存使用率76%52%↓24% 集群总存储174TB232TB+58TB 存储使用率55%44%↓11% 2、n-1冗余能力恢复 扩容前:任意单节点故障后,剩余两节点内存使用率将接近满载,存在业务风险。 扩容后:新增节点带来资源冗余,n-1冗余能力恢复,单一节点故障不再影响业务稳定性。 3、项目价值 ①成本价值:通过利旧服务器扩容,避免新增整机采购,大幅降低扩容预算。 ②冗余能力恢复:扩容后集群重新具备n-1冗余能力,降低单节点故障风险。 ③风险控制经验:“分批扩容”策略在利旧硬盘场景下具有较高可行性。 七、项目经验总结 本次项目验证了几个关键原则。 1、利旧扩容,“对齐”比“安装”更重要 需要重点对齐:软件版本、网络配置、RAID模式、BIOS模式。 利旧,不是将就,而是对齐。 2、第三方服务器最大的风险是不确定性 尤其需要重点关注:BIOS启动逻辑、利旧硬盘健康状态、驱动兼容性。建议加入集群前,提前完成硬盘初始化与健康检查。 3、通用报错,要往“下一层”看 页面提示往往只是结果。真正的问题在API、在日志、在后台服务。 HTTP 500不是根因,硬盘坏道才是。 4、分批扩容,本质是“分步控制风险” 不要追求“一次性完成所有操作”。分阶段实施:更容易定位问题、更容易控制风险、更适合生产环境。 分批扩容,本质是分步控制风险。 八、结语 1、本次项目最大的收获,并不仅仅是完成了一次扩容。 2、更重要的是:验证了第三方服务器平滑接入深信服HCI集群的可行路径。 3、实践证明:只要提前做好兼容性评估、网络对齐、风险预案、分步实施,利旧设备同样能够稳定融入生产环境。 4、而那些实施过程中踩过的坑——BIOS启动项问题、硬盘坏道扫描超时问题——最终都沉淀为了可复用的项目经验。 5、这正是项目交付最有价值的部分:不只是解决问题,更是经验积累。
    EOS设备换新升级筑牢企业安全底座
    七嘴八舌bar 活动截止时间:2026-06-30
    告别老旧隐患、升级防护能力、保障业务稳定
    有一说一|解锁Agent真实价值,是摸鱼神器还是鸡肋?
    七嘴八舌bar 活动截止时间:2026-06-10
    1. 用AI帮你干过什么事,让你实打实少熬了一小时甚至一下午的班? 2. AI哪次把你坑得想摔手机——你觉得好用的职场AI到底该替你扛什么、绝不该碰什么?
    信服智创 | 参与得豆!2026技术征文大赛正式启幕! SSL登录后业务访问异常 【问题现象】客户某国外用户登录当地SSL设备后访问中国大陆业务异常,ping 和 telnet 都没问题,就是 http 和 https 建联不起来。SSL设备部署在海外idc,有海外专线到中国大陆idc机房。 【排查过程】1.服务端查看用户登录获取的虚拟IP。2.后台复现抓包。tcpdump -i any host 业务域名 and host 虚拟IP -nnv -s0 -w /tmp/xxx.pcap 3.查看数据包我们sslvpn发包了,内网过了200+ms才回包,并且异常时服务端发出的client hello 包业务侧1s多才回复,导致客户端已触发重传,连接建立失败。 4.协调客户排查内网回包为啥这么慢,客户反馈海外专线到大陆平均200+延迟是正常范围,并且其他用户接入同一个SSL访问正常,协调正常用户抓包对比。 5.查看正常的用户也是200ms+回包,但是链接没断开,同一台设备相差很大,目前除了用户接入区域不一样,还有不同的就是分配的虚拟IP不一样。 6.控制台查看虚拟IP池,发现有配置三个虚拟IP段,正常的用户获取的236段,异常的用户为240段。 7.控制变量排查,让客户指定异常用户的虚拟IP为236段,并且修改默认虚拟IP池段为236,异常用户重新登陆访问正常了。【处理结论】客户内网环境问题,部分虚拟IP网段业务传输延迟大,具体原因需要排查网络侧。
    信服智创 | 参与得豆!2026技术征文大赛正式启幕!3389端口明明可达,RDP却报“内部错误”?一次跨设备深度排障实录 目录: 一、项目背景:安全远程访问下的典型矛盾场景 二、故障现象:典型“网络正常但业务异常“ 三、排障过程:从“路径验证”到“行为分析”的转变 四、分层排查与转折 1、第一层:应用层验证(排除目标服务器问题) 2、第二层:VPN与基础网络验证 3、第三层:安全设备策略验证(AF) 4、第四层:跨设备对照验证 五、关键突破:多点抓包,发现“沉默的杀手” 六、技术定位:0x5826的真实含义 七、根因总结 八、解决方案 九、经验总结 1、“端口通 ≠ 业务通” 2、中间安全设备是“隐性杀手” 3、多点抓包是终极手段: 4、建立“特征指纹库” 十、结语:复杂网络排障的真谛 一、项目背景:安全远程访问下的典型矛盾场景在某企业网络环境中,整体拓扑如下:Internet → 深信服AF防火墙 → 深信服AC上网行为管理 → 核心交换机 → 内网服务器/终端 其中:1、AF防火墙启用SSL VPN功能2、用于为外部供应商提供安全远程接入能力3、AC对内网访问行为(包括终端和服务器)进行精细化管控 业务需求由于新增业务系统上线,客户需向第三方供应商开放一台内网服务器远程维护能力。 基于企业安全要求,明确限制:1、禁止直接暴露公网33892、禁止使用向日葵 / ToDesk等第三方远控工具 最终采用方案:1、供应商通过SSL VPN接入内网2、使用MSTSC(RDP)访问服务器3389该方案符合典型企业“安全接入 + 最小暴露面”设计原则。 二、故障现象:典型“网络正常但业务异常”系统上线后出现异常:供应商通过SSL VPN成功接入后,使用 MSTSC 连接服务器时报错:“出现了内部错误” 关键表象排查初期观察到:1、SSL VPN连接正常2、获取内网IP正常3、tcping/telnet 3389正常4、无明显丢包或超时 初步判断困境从传统排障视角:“端口通、链路通、策略看似正常,但RDP不可用”形成典型的“网络层正常,应用层失败”现象。 三、排障过程:从“路径验证”到“行为分析”的转变在连续验证均“正常”的情况下,问题一度陷入僵局:1、网络通2、会话在3、抓包有数据 一切看起来都没问题,但业务就是失败。 这往往意味着:问题不在“是否能到达”,而在“是否被允许完成通信”。 因此排障思路从:“连通性验证”转向“路径行为分析”。 四、分层排查与关键转折第一层:应用层验证(排除目标服务器问题)在内网直接测试:1、MSTSC访问服务器2、3389服务状态检查3、RDP服务监听确认 结果:1、内网RDP访问正常2、服务器服务状态正常 结论:服务器与应用层完全正常,问题应该不在目标端。 第二层:VPN与基础网络验证SSL VPN侧检查:1、隧道建立正常2、地址分配正常3、策略下发正常 TCP连通性测试:1、tcping/telnet 3389 → 正常 结论:基础TCP连通性无异常。 第三层:安全设备策略验证(AF)在AF侧进行验证:1、会话表存在RDP连接2、无明显丢弃记录 为彻底排除AF拦截可能,甚至将源目IP加入AF‘全局直通’策略(绕过所有安全检测),故障依旧。由此锁定:问题不在AF。 结论:AF未对该流量进行显式拦截。 第四层:跨设备对照验证为缩小范围,进行交叉测试:客户端替换1、不同PC → 失败 服务器替换1、其他服务器RDP → 正常 结论:问题与“特定访问路径”相关,而非通用网络问题。 五、关键突破:多点抓包,发现“沉默的杀手”既然路径上有AF和AC两台设备,我们决定在AF、AC、核心交换机多点同时抓包,进行精细分析: 关键发现(AC侧)观察到:1、TCP连接被中途终止2、出现 RST复位包 并在报文中发现一个异常特征:TCP/IP Identification 字段:0x5826 六、技术定位:0x5826 的真实含义查阅相关知识及结合过往排障经验,了解到该特征值与AC的策略阻断行为相关:AC行为特征机制在深信服AC上网行为管理中:1、当命中访问控制策略2、或未授权协议访问3、会触发主动阻断行为 表现为:1、返回TCP RST复位包2、快速终止连接3、并附带特定协议栈特征0x5826 本案例证据链闭环验证点 结果TCP连通性 正常VPN隧道 正常AF策略 未拦截会话状态 存在RDP应用 失败AC抓包 存在RSTID 0x5826 最终判断AC上网行为管理策略未放通 RDP(3389)协议,导致连接被策略性复位。 七、根因总结本次故障本质并非网络连通性问题,而是:中间安全设备(AC)基于应用控制策略对RDP流量进行了隐式阻断。 关键认知提升端口能通 ≠ 应用正常访问 在AC中:1、即使3389端口可达2、若 RDP 未被策略放通仍会被阻断 八、解决方案在AC上网行为管理策略中进行调整:放通策略调整1、放通 RDP(3389)协议访问 验证结果调整后:1、MSTSC连接恢复正常2、无内部错误3、RDP会话稳定建立 九、经验总结1、“端口通 ≠ 业务通”TCP层可达只代表网络路径存在,不代表应用层被允许。尤其在有多层安全设备的今天,这点至关重要。 2、中间安全设备是“隐性杀手”AF、AC等安全设备,会通过应用识别、RST复位等方式进行“非显性拦截”。排查时务必将其纳入视野。 3、多点抓包是终极手段当逻辑排查陷入僵局时,用数据事实说话。在不同的网络节点同时抓包,对比分析,是定位“沉默故障”最有效的方法。 4、建立“特征指纹库”0x5826这样的特征码,是快速定位问题的关键。将此类经验沉淀下来,能极大提升未来排障效率。 十、结语:复杂网络排障的真谛1、在企业级安全网络中,真正的问题:往往不在“是否能到达”,而在“是否被允许”;2、回顾本次排障,经历了从“信心满满”到“一头雾水”,再到“豁然开朗”的全过程。 3、它再次验证了一个原则:当“网络正常”但“业务异常”时,故障往往隐藏在安全策略与协议行为的复杂交互中。 4、穿透表象,用分层模型定位,用多点抓包取证,最终你会发现,那个“不可能”的问题,答案一直都在那里。
    信服智创 | 参与得豆!2026技术征文大赛正式启幕!AF+AC分层改造:一次企业出口架构解耦实践与控制平面问题复盘 目录: 一、项目背景:一台“身兼数职”的老将 二、问题分析:单体重载架构的三大隐痛 1. 资源“内卷”,性能波动明显 2. 故障“放大”,任意异常皆影响全局 3. 单点“风险”,设备无冗余 三、方案设计:从“设备升级”到“架构重构” 1. 方案对比 四、简要实施过程:能力迁移与架构重构 1. 阶段一:出口能力从AC“剥离”至AF 2. 阶段二:AC改造为双网桥透明模式 五、关键问题复盘:一次“控制面漂移”的诡异问题 1. 现象 2. 第一反应 3. 转向怀疑网络 4. 关键转折点 六、根因分析:透明模式下的“路径依赖”真相 1. 核心机制 2. 路径推演 3. 本质问题 七、解决方案:构建控制流量确定性路径 1. 方案一:补齐网桥2管理IP 2. 方案二:带外管理网络(增强方案) 3. 方案三:通过LACP(链路聚合)主动控制流量路径 八、项目价值总结 1. 架构价值:能力解耦,职责清晰 2. 运维价值:故障域收敛,排障清晰 3. 技术发现:透明≠无状态 九、经验沉淀:从案例到可复用设计原则 1. 原则一:能力解耦优先于设备升级 2. 原则二:透明部署必须设计控制流路径 3. 原则三:架构改造必须具备可回退能力 十、结语 一、项目背景:一台“身兼数职”的老将 某中型企业网络长期采用传统单设备出口架构: Internet ↓ 深信服AC-1800(出口网关 + 上网行为管理) ↓ 核心交换机 ↓ 办公终端 该设备(2017年部署)长期承担四类核心职责: ①三层网关(PPPoE / 路由 / NAT) ②用户认证与准入控制 ③上网行为管控与审计 ④SSL解密 可以说,当时它是网络和安全的中枢。但随着时间推移,这套“一体化”架构的弊端开始显露。 二、问题分析:单体重载架构的三大隐痛 客户选择改造,并非设备损坏,而是这套架构在日常运行中,问题越来越频繁: 1. 资源“内卷”,性能波动明显 现象:SSL解密与上网管控,与路由、NAT争抢同一块CPU资源。 后果:业务高峰期,CPU时常飙升至85%-95%,甚至100%,导致网页打开延迟达到3-5秒,视频会议卡顿。 2. 故障“放大”,任意异常皆影响全局 由于AC是唯一出口,任何问题都会导致“全网不可用”: ①NAT异常 = 网络故障 ②策略异常 = 业务中断 ③性能瓶颈 = 全网抖动 故障域完全没有收敛。 3. 单点“风险”,设备无冗余 作为唯一出口节点,设备一旦异常(如电源故障、系统死锁、设备宕机),整个公司网络便陷入瘫痪,且无法快速切换。 客户核心目标:不是换一台新设备,而是重构架构,将网络转发能力与安全审计能力解耦。 三、方案设计:从“设备升级”到“架构重构” 1. 方案对比 方 案 描述 结论 方案A 新AC替换旧AC 仅更换新型号AC,架构不变;问题会延续,性能瓶颈可能再次出现 方案B AF + AC 分层架构(最终选择) AF负责网络出口,AC专注行为管理 能力解耦,职责清晰,故障域收敛 我们评估了两个方案: 最终目标架构: Internet → 深信服AF (路由/NAT/安全) → 深信服AC (审计/管控) → 核心交换机 → 办公终端 设计思想: 让AF做它擅长的“确定性转发”、“安全防护”,让AC回归它本该专注的“可视化管控与审计”。从“单体设备”到“能力栈分层”。 四、简要实施过程:能力迁移与架构重构 为了保证业务不中断,我们采用了分阶段、可回退的迁移策略。 1. 阶段一:出口能力从AC“剥离”至AF 将AC上的网络层配置,完整迁移到新部署的AF上(相当于给网络出口换了个“大脑”): ①网络配置:PPPoE/专线接口、默认/静态路由。 ②NAT策略:同步并清理了多年积累的数十条冗余规则。 ③基础安全:配置了必要的访问控制策略。 ④关键原则:此阶段只做“平移”,保证业务连续性第一。 风险控制措施: 保留原AC出口路径不下线:在AF接管前,原有链路保持可用,确保可快速切回。 2. 阶段二:AC改造为双网桥透明模式 将原来的出口AC“降级”为透明网桥,串联在AF和核心交换机之间(让它专心做“观察员”): ①网桥1:ETH0 ↔ ETH2 ②网桥2:ETH1 ↔ ETH3 关键注意点: 务必使用硬件Bypass网口对,避免设备断电导致网络中断。 完成网络层迁移后,再将上网认证、流量管控、SSL解密等策略从旧AC迁移至新AC上。 五、关键问题复盘:一次“控制面漂移”的诡异问题 在双网桥透明部署后,出现了一个极为“诡异”的现象: 1. 现象 同一VLAN、相同配置的不同办公终端,一部分可以正常访问AC的管理界面,另一部分则完全不通,Ping管理IP也是时通时断。 2. 第一反应 “配置出错了?”反复检查了AC的网桥配置、管理IP等,确认无误。 3. 转向怀疑网络 “难道交换机有隐藏ACL?”我又花了一整个下午排查核心/接入交换机的配置,VLAN、ACL、STP一切正常。问题依旧。 4. 关键转折点 当我将所有出问题的终端对比分析后,发现了一个规律: ①交换机A的终端 → 可正常访问AC管理界面。 ②交换机B的终端 → 无法访问AC管理界面。 此时才意识到,问题从“配置错误”转向了 “流量路径差异” 。 同样是去往AC管理IP的流量,因为来源不同,走的路径不一样,结果也不同。 六、根因分析:透明模式下的“路径依赖”真相 进一步回溯AC的双网桥设计,发现了根源: 1. 核心机制 在透明网桥模式下,管理IP并非“漂浮”在所有网桥上,而是属于某个特定网桥的控制平面对象。 在本案例中,管理IP仅配置在了网桥1上。网桥2没有配置管理IP。 2. 路径推演 ①成功的路径: 终端流量从交换机A出发 → 进入AC的网桥1 → AC控制平面识别并响应 → 正常通信 ②失败的路径: 终端流量从交换机B出发 → 通过链路进入AC的网桥2 → 网桥2作为“纯数据平面”无法关联到网桥1的控制平面 → 包被丢弃或无法响应 → 管理IP不可达 3. 本质问题 在双网桥透明模式下,控制平面存在“路径依赖”。 当多链路接入环境导致流量随机进入不同网桥时,就发生了 “控制面漂移”——请求来了,但控制面不在这里。 七、解决方案:构建控制流量确定性路径 1. 方案一:补齐网桥2管理 IP ①网桥1:管理IP A ②网桥2:管理IP B ③实现双控制面冗余 此方案不推荐:涉及到各网桥不能同网段、vlan通信、vlanif接口sub IP,实现较复杂。 2. 方案二:带外管理网络(增强方案) 实施方式: ①独立管理口 ②管理流量与业务流量隔离 实现效果: 控制台访问恢复稳定 ①不再依赖接入位置 ②控制平面路径确定性建立 3. 方案三:通过LACP(链路聚合)主动控制流量路径 实施方式: ①在AF与核心交换机之间配置LACP聚合。 ②将AC的两个网桥串联在聚合链路中间。 ③关键一步:通过调整交换机侧LACP的接口优先级,强制指定承载管理IP的网桥1所连接的链路为主用链路。 实现效果: ①管理流量固定:所有去往管理IP的控制流量,100%进入网桥1。 ②数据流量冗余:网桥2所在的链路作为数据转发备用。 ③价值:从“被动适配随机路径”转变为 “主动控制确定路径”。 八、项目价值总结 最终,所有问题圆满解决,架构平稳落地。 1. 架构价值:能力解耦,职责清晰 从“单体出口”升级为“AF(网络边界) + AC(行为审计)”分层架构,网络与安全能力彻底分离。 2. 运维价值:故障域收敛,排障清晰 AF出问题,排查网络层;AC出问题,排查策略层。互不干扰,排障路径一目了然。 3. 技术发现:透明≠无状态 透明网桥模式下,控制平面仍有“归属感”,多链路部署必须设计控制流确定性,避免“路径漂移”。 九、经验沉淀:从案例到可复用设计原则 如果说本次项目解决的是一个具体问题,那么更重要的是对以下通用设计原则的验证: 1. 原则一:能力解耦优先于设备升级 在出口设备长期承载多种职能时,应优先通过架构拆分实现能力解耦,而非简单替换设备。 价值: ①避免资源竞争 ②降低故障放大效应 ③提升系统扩展性 2. 原则二:透明部署必须设计控制流路径 透明网桥对数据流透明,但控制平面具有归属。 多链路场景必须确保: ①控制流具备确定路径 ②避免路径随机 推荐手段: ①单独带外管理(优先) ②链路聚合引导(进阶) 3. 原则三:架构改造必须具备可回退能力 所有网络改造必须设计回退路径: ①保留旧链路 ②新旧路径并行 ③支持快速切换 本项目通过“新IP + 保留原出口路径”,实现秒级回退,大幅降低实施风险。 十、结语 这次改造的最大收获,不只是完成了一次设备替换,而是深入理解了透明网桥下控制平面的行为逻辑。 一个好的架构,不是设备的堆叠,而是让每一类能力各司其职,并为所有流量(包括控制流)设计一条确定的、可预期的路径。
    信服智创 | 参与得豆!2026技术征文大赛正式启幕! 信创ARM架构麒麟PC端虚拟化交付云镜最佳实践本项目中客户采购一台云镜主要做为移动端便携式漏扫工具,方便测评人员带着电脑即可随时随地接入客户网络中进行漏扫。由于云镜软件交付仅支持虚拟化环境整套系统部署交付,无法直接通过软件的形式安装到终端环境中,且本项目为纯信创环境,终端PC和云镜均为ARM架构国产化麒麟系统才可通过信创改造验收,估本项目中采购一台信创个人终端PC做为宿主机承载,云镜以虚拟机的方式部署到宿主机中。 下载链接:https://support.sangfor.com.cn/productSoftware/list?product_id=80&category_id=96(下载qcow2格式的即可)PC环境:Kylin Linux Desktop V10 (SP1)、Linux langchao-PC 5.4.18-91-generic #80oemlccp320fh11u SMP Thu Jan 25 07:30:45 CET 2024 aarch64 aarch64 aarch64 GNU/Linux 1.安装QEMU和KVM套件安装命令:sudo apt install qemu-system virt-manager libvirt-daemon-system 2.赋予当前用户管理虚拟机的权限 操作命令:sudo usermod -aG libvirt $USERnewgrp libvirt # 刷新用户组 3.开始创建虚拟机 (1) 在开始菜单中搜索并打开 “虚拟系统管理器” (Virtual Machine Manager):(2) 点击左上角的“新建新虚拟机”图标→导入现有磁盘映像:(3) 在新建虚拟机窗口中选择现有qcow2的镜像即可: 4.虚拟机初始化创建好虚拟机后,点击打开等一段时间见到如下界面即为已经完成初始化。 5.网口配置 虚拟机配置2个网口,一个网口用来和宿主机通信,作为管理口,另外一个口通过物理口透传出去作为业务口进行业务扫描。网口1:桥接pvbr_enp4s0:空桥接;(pvbr_enp4s0为本机的虚拟网口,主要用于和云镜的eth0口的默认地址进行通信)修改本机的pvbr_enp4s0的IP地址和默认地址10.251.251.250同网段即可。网口2:主机设备enps40:macvtap,源模式:传递 6.登录控制台使用即可。
    信服智创 | 参与得豆!2026技术征文大赛正式启幕!防火墙会话数每5分钟飙升4万+:一次AC“全网扫描”引发的伪攻击事件摘要: 一次例行巡检,发现AF会话数每5分钟飙升至4W+,特征极像内网扫描攻击。然而,最终定位的源头,竟是“自己人”。本文完整复盘了从误判到根因的排查过程,并总结了此类问题的通用排查思路。 目录: 一、异常现象:一次“脉冲式”的会话风暴 二、网络拓扑 三、陷入误区:所有证据都“指向攻击” 四、关键转折:从AF会话中,锁定了“意料之外”的源IP 五、现场验证:在AC上发现了“致命”配置 六、根因分析:一次“能力失控”的放大效应 七、问题本质:不是攻击,而是配置与能力的错配 八、解决方案与优化建议 九、效果验证 十、经验总结 一、异常现象:一次“脉冲式”的会话风暴 在某政企项目例行巡检中,发现AF防火墙的会话监控出现极端异常: 1、周期性触发:大约每5分钟一次 2、瞬时飙升:会话数从正常基线急剧攀升至4W+ 3、脉冲式回落:峰值仅持续数秒,随后迅速恢复正常 更关键的是流量特征:目的IP高度离散,覆盖全网段,无任何单一目标。 初步判断:在安全经验中,“周期性 + 瞬时高并发 + 全网分散IP”几乎可以直接等同于——内网横向扫描、蠕虫行为或自动化探测攻击。排查自然朝着“定位内网失陷主机”的方向开始。 二、网络拓扑 Internet ↓ 深信服AF防火墙 ↓ 深信服AC行为管理 ↓ 核心交换机 ↓ 内网终端 三、陷入误区:所有证据都“指向攻击” 首先验证了两个最可能的攻击模型: 1、内网主机失陷:是否存在中毒终端、扫描脚本或异常进程? 2、外部攻击回流:外部扫描器周期性探测?或策略误触发导致流量反射? 最大的迷惑点:“周期性 + 瞬时高并发 + 目的IP分散”这三个特征,在安全领域几乎天然等价于“扫描攻击模型”。这让我在初期浪费了不少时间。 四、关键转折:从AF会话中,锁定了“意料之外”的源IP 为了验证攻击假设,对AF峰值时段的会话日志进行了源IP聚合分析。 结果令人意外: 1、Top异常会话源IP高度集中 2、唯一持续触发异常行为的IP是:172.16.X.X 3、通过ARP及MAC地址追溯,最终确认该IP对应的设备为——深信服AC行为管理。 结论反转:问题不是来自外部攻击或内网病毒,而是内部设备自身的行为异常。 五、现场验证:在AC上发现了“致命”配置 登录AC,直奔终端识别与资产扫描模块。 在“终端发现配置”中,找到了直接原因: 扫描范围被错误配置为:0.0.0.0 - 255.255.255.255 这意味着:AC在执行资产发现时,没有限制在任何边界内,而是对所有IPv4地址发起了主动探测。 六、根因分析:一次“能力失控”的放大效应 1、AC扫描机制原理 AC通过主动探测实现资产识别,核心技术包括TCP/IP指纹识别(类似nmap)、SMB协议探测、SNMP信息采集及ONVIF设备识别等,本质上是一个多协议并发主动探测模型。 2、会话数爆炸的形成机制 AF防火墙基于“五元组”建立会话,当叠加以下两个因素时,问题爆发: 因素一:扫描范围失控:0.0.0.0 - 255.255.255.255等于对全网发起无边界探测。 因素二:多协议并发探测:针对每个IP,AC会同时发起SMB、SNMP、ICMP等多种协议的连接尝试。 最终结果:在极短时间内,AC轮询成千上万个IP,每个IP触发多条会话,导致AF的会话表瞬间膨胀,表现为数万级的“伪攻击”峰值。 3、周期性来源 进一步检查发现,该扫描是AC上配置的定时资产发现任务。这完美解释了为什么在AF侧观察到每5分钟一次、短暂而规律的脉冲。 七、问题本质:不是攻击,而是配置与能力的错配 本事件并非安全攻击,而是: 一个正常的扫描能力,在错误配置下,与防火墙会话机制叠加后,引发的资源放大效应。 1、功能层:AC终端扫描(正常能力) 2、配置层:扫描范围严重错误(核心根因) 3、网络层:AF会话机制如实记录,形成“会话洪峰” 八、解决方案与优化建议 1、根因修复 将AC的终端扫描范围调整为实际业务网段,例如192.168.0.0/16。 核心原则:扫描范围必须严格匹配你的网络边界。 2、长期优化建议 控制扫描范围:避免使用“0.0.0.0”或远大于实际规模的网段。 按需启用扫描策略:在终端规模较小或对实时性要求不高的环境,建议关闭自动扫描,仅在需要资产盘点时手动触发,完成后关闭。 九、效果验证 完成配置修改后,持续观察AF监控视图: 1、会话数恢复正常水平,不再出现数万级突发峰值 2、周期性波动完全消失 3、问题得到彻底解决,业务访问无任何影响 十、经验总结 1、“像攻击”的不一定是攻击: 周期性+高并发+全网分布是典型的迷惑特征,但根源可能是内部自动化组件。 2、安全设备可能“放大”彼此影响: 本案例中,AC的扫描行为被AF以会话形式完整记录,两者叠加形成了意外的“会话洪峰”。 3、功能本身无问题,边界决定安全性: 终端扫描是有效能力,但必须满足“范围合理、策略可控、与网络规模匹配”的前提。 4、排障必须尽快锁定流量源头: 如果只盯着防火墙侧分析,容易陷入流量表象。真正的突破点在于——快速锁定源IP,并回溯到发起行为的真实设备。 5、这类问题在实际项目中具有较强的“迷惑性”: 表象类似攻击、行为却来源于内部设备、根因隐藏在配置细节中。 6、对工程师而言,真正的能力差异不在于“是否识别告警”,而在于: 是否能穿透流量表象,回到设备行为本身。
    信服智创 | 参与得豆!2026技术征文大赛正式启幕! atrust沙箱应用使用问题案例 案例一:【问题描述】用户在沙箱内打开一个web应用系统向系统中上传本地文件,但是上传文件列表显示的是本地磁盘目录而不是沙箱内目录,无法正常上传沙箱内文件,并且可以直接绕过沙箱上传本地文件也存在安全隐患。【处理过程】首先三板斧,重装重启重买(不是),首先指导用户重装一下最新版本客户端,但是问题依旧。感觉不是一般问题协调400处理,在终端收集了客户端日志判断是个兼容性问题,随后摇了研发远程排查。研发使用的是procmon分析了相关进程,初步结论是这个平台本地应该有一个服务,浏览器上传文件时会和这个本地服务通信获取盘符路径,本地服务无法拉取到沙箱内的路径导致了问题。具体进程如下:下一步给出了解决方案:1、 配置个人空间进程黑名单,将进程enseuse.exe加进去;2、 将enseuse.exe进程配置到工作空间进程自适应。 具体配置如下:在程序仓库添加对应进程在【个人空间管理】-【程序运行管理】,新增程序黑名单:后续重新进行测试就恢复正常了。【原因总结】 1. 沙箱内浏览器打开的业务平台点击上传文件时获取的文件夹目录结构是和个人空间enseuse.exe通信获取的; 2. enseuse.exe是通过服务进程easeclientservice.exe拉起的,这个进程启动在个人空间,因此其获取到的文件夹结构是个人空间的目录结构。 案例二:【问题描述】依旧是在沙箱内的一个web应用系统,使用远程维护功能时会有报错。【处理过程】 这里实际是同一个用户的问题,当时感觉很相似,但是能力有限不会用工具分析进程,尝试直接问客户远程维护功能是否需要调用本地插件。客户给出了具体的进程名称和通信流程。 于是使用同样的步骤处理对应进程,问题解决。 案例总结: 上面两个案例实际都是沙箱内系统本应该和沙箱内进程进行通信才能使用正常,未经过处理的进程默认只在本地电脑运行,导致功能报错;判断到是这类原因后可以尝试将对应进程(使用工具识别或咨询业务系统工程师)加入到个人空间进程黑名单,同时将进程配置到工作空间进程自适应,这样进程会在沙箱内被拉起,确保应用使用正常。
    精华博文

    覆盖全产品线,汇聚2000+精华、优秀文章,助您更好了解和使用深信服产品!

    每周精选

    汇总每周最新、最热、版主推荐内容,掌握产品资源动态,热点知识一触即达!

    技术圆桌

    汇总社区最新、热门话题,点击参与讨论

    问答集锦

    整合社区用户常问问题,查看最新解决方案

    信服智创 | 参与得豆!2026技术征文大赛正式启幕! 从"光纤一断全网瘫痪"到"双链路无感切换"某制造企业安恒防火墙替换全流程复盘 目录: 一、项目背景 二、问题分析 三、方案设计 四、架构设计 五、简要实施过程 六、优化效果 七、典型问题复盘 1.端口映射正常,但业务异常(范围端口映射) 2.访客网络无法访问SSL VPN(非对称路由) 八、项目总结 一、项目背景 客户为某制造企业,现网出口采用双区域架构: 电信专线:承载办公及核心业务访问(主业务链路) 移动专线:承载物联网及访客网络(物理隔离) 基础拓扑如下: 电信专线 → 业务防火墙 → 核心交换机 → 办公/生产终端 移动宽带 → 路由器 → 交换机 → 访客/物联网终端 二、问题分析 随着业务发展与外部环境变化,逐步暴露出以下问题: 1.链路稳定性问题逐渐放大 公司周边施工频繁,电信光纤多次被挖断。现网应对方式为人工切换:将移动宽带接入业务防火墙临时顶替。 实际运行中存在明显问题: ①切换依赖人工,恢复时间不可控(通常10–15分钟) ②业务中断不可避免,影响生产及办公连续性 ③运维压力大,存在误操作风险 本质问题: 缺乏链路层面的自动化调度与健康检测机制,无法实现链路故障的快速感知与自动切换 2.设备能力与安全能力不足 ①原出口设备为安恒明御安全网关(2020年部署) ②上网行为管理能力较弱,难以进行细粒度策略控制 ③安全规则库长期未更新,防护能力持续下降 ④硬件性能老化,维保已过期,存在运行风险 本质问题: 设备仍在运行,但安全能力已“失效” 3. ssl vpn接入能力受限 ①终端支持不完整:仅支持Windows、Android,无法覆盖iOS等移动办公场景,限制管理层及部分业务人员使用 ②接入体验不稳定:在公网链路波动或切换时,VPN连接易中断,缺乏链路级保障机制 本质问题: SSL VPN作为远程接入能力,处于“附属功能”状态,缺乏稳定性保障 三、方案设计 本项目的核心,不是简单替换设备,而是在成本、风险、能力之间做取舍。实际落地前,我们评估了三种路径: 方案A:原厂升级 优点:改造成本低 问题:行为管理能力与链路调度能力仍不足、扩展性差 结论:适合短期缓解,不具备长期价值 方案B:双防火墙HA架构 优点:设备层高可用 问题:无法解决链路中断问题、成本提升明显 结论:解决“设备单点”,但未解决“链路单点” 方案C:单AF + 多链路调度(最终选择) 核心思路:用“链路智能”替代“设备冗余” 采用一台深信服AF作为出口核心设备,重点利用其能力: ①链路健康探测(ICMP / DNS / 自定义目标) ②基于策略的选路与自动切换 ③内置上网行为管理 ④SSL VPN多终端支持(Windows / Android / iOS) 四、架构设计 1.出口结构: 电信专线(主链路) 联通专线(备链路 + 分流) 移动宽带(应急兜底) 2.流量调度策略 核心思想:不同业务,不同路径策略 ① 服务器流量(稳定优先) 优先走电信 电信异常/探测失败 → 自动切换联通 探测目标优先选择公网稳定地址 + DNS地址组合,避免单一探测误判,连续3次失败触发切换 ② 用户上网流量(利用率优先) 电信 + 联通负载均衡 实际调整过程中,对部分业务(如视频、下载)做了链路倾斜,避免挤占主链路资源 ③ 极端场景兜底机制 双专线异常 → 手动接入移动宽带 该方案虽为手动,但作为三层兜底已足够 五、简要实施过程 1.割接前准备:配置梳理 原防火墙: ①NAT规则:50+条 ②存在问题:冗余策略、端口混乱、命中率不可见 ③ 处理策略不是“迁移”,而是:梳理 → 分类 → 重构关键动作: ①删除无效策略 ②合并重复规则 ③ 标记关键业务流量 2.新设备配置 在AF上采用“重建式配置”: ①接口与网络重新规划 ②NAT规则结构化设计(按业务分类) ③ 安全策略分层(业务控制策略 / 上网管控策略) 这一点非常关键: 很多问题不是“迁移失败”,而是“把旧问题带到了新设备”。 3.割接切换 ①选择夜间低峰期进行:原设备保留、不关机(作为回退) ②分阶段验证:内网连通性、外网访问、VPN接入 4.实施结果 ①大部分业务仅在切换过程中短暂中断(个别端口映射例外) ②切换过程可控 六、优化效果 1.可用性提升 ①链路切换:人工 → 自动 ②故障恢复时间:10–15分钟 → 5–10秒 2. 带宽利用率提升 ①原:单链路高峰约80% ②现:双链路均衡约40%~70% 3. 运维复杂度降低 ①不再依赖人工切换链路 ②策略结构清晰,维护成本明显下降 4. 公网访问体验优化 采用“双出口 + 智能DNS(阿里云)”: ①电信用户 → 电信链路接入 ②联通用户 → 联通链路接入 有效降低跨网访问延迟。 七、典型问题复盘 1. 端口映射正常,但业务异常 现象:端口可访问、部分业务连接异常 排查过程: ①排查安全策略 → 正常 ②排查链路 → 正常 ③ 抓包分析 → 发现端口不固定 根因分析: NAT规则中配置了“端口转换为端口范围”,导致端口随机映射,破坏一对一关系。 解决方案: ①删除端口范围配置 ②使用默认一对一映射 经验总结: 涉及端口范围映射时,如无明确需求,应避免使用端口随机转换。 2. 访客网络无法访问SSL VPN接入地址(非对称路由) 现象: 使用访客网络(移动宽带)访问SSL VPN地址 表现为: IP不通,VPN无法建立连接 排查过程: ①本地网络正常,可访问公网 ②检查AF策略与端口监听 → 正常 ③排查公网访问路径 → 无异常 ④抓包发现请求能到达,但无响应 根因分析: ①多出口环境下出现回程路径不一致(非对称路由): ②请求从电信/联通进入 ③回包从移动链路发出 ④源地址不匹配,客户端丢弃 触发原因: AF配置中引入了移动链路作为应急备用出口 解决方案: 通过策略路由+调整路由优先级,固定回包路径 经验总结: ①在多链路环境中,“能出去”不等于“能回来” ②任何公网服务(如VPN/端口映射)都必须保证回程路径一致,否则必然出现连接异常。 八、项目总结 本次改造的核心价值在于完成了三个转变: ①从“单链路依赖” → “多链路调度” ②从“人工应急” → “自动容灾” ③从“策略堆叠” → “结构化管理” 在制造业场景中,出口防火墙不仅是安全设备,更是业务连续性的关键控制点。 本项目的关键不在于设备替换本身,而在于对现网的理解深度 + 割接过程控制能力。 该项目验证了一点:在出口改造中,“链路冗余设计”优先级应高于“设备冗余设计”,否则即使设备高可用,业务仍可能中断。
    信服智创 | 参与得豆!2026技术征文大赛正式启幕! SAAS XDR proxy双网卡部署 【背景】深信服XDR(安全检测与响应平台,含SaaS XDR、分布式XDR、硬件XDR等形态)是深信服推出的融合多源数据、支持云端协同的安全检测与响应平台,核心定位与特点如下:核心定位:深信服XDR通过原生的流量采集工具与端点采集工具将关键数据聚合在XDR平台,通过云端专家服务提供威胁分析研判及狩猎能力,支持SaaS化交付方式,为用户带来深度检测、精准响应、持续生长的安全价值。主要产品特点:多源数据联动,加速安全闭环、高性能数据处理能力、云端协同,全面可视化。 总之XDR是个好东西,但是太贵了,所以客户选择了高性价比的SAAS XDR。那SAAS XDR在云端,想要接收第三方的日志和联动第三方设备都需要在本地部署一个代理,但是社区的镜像有个小问题,那就是只有一张网卡,而有的客户有两张物理隔离的网络,内网和外网,所以代理就需要多整一个网卡了。 【解决过程】以在HCI部署举例(HCI两个业务口,分别连通内网和外网,这里不过多描述了):一、正常部署参照社区文档,挺简单的,新增虚拟机,使用对应镜像,开机就自动部署的,此处省略该步骤;二、部署完成后配置IP,修改管理口地址,蓝色光标移动到页面中Configure static IPv4 address,回车后配置该虚拟机的eth0(第一张网卡)的IP地址以及DNS地址 ,保存即可(我这里eth0是属于外网的);三、在HCI给代理新增一张网卡,登录深信服HCI,在【虚拟机】页面找到需要操作的虚拟机,点击“更多”→“编辑”,进入“硬件”选项卡,选择“添加硬件”,然后选择“网卡”,即可添加一张或多张新的网卡再连到对应端口组; 四、配置新网卡1、SSH进入系统后台,cd /etc/sysconfig/network-scripts,cd到网卡配置文件目录,ls看是只有eth0的配置文件的;2、cp ifcfg-eth0 ifcfg-eth1,生成一个eth1的配置文件;3、sudo su提权;4、vi etc/sysconfig/network-scripts/ifcfg-eth1,根据具体情况修改IP等信息,保存。这里要注意两个点:(1)因为ifcfg-eth1是ifcfg-eth0 cp出来的,HCI虚拟网卡有个UUID,一定要把eth1的UUID删掉不填,不然用不了(这个排查了好久才发现的);(2)eth1内网口不写网关,然后写明细路由,不然有两条默认路由,会有问题。5、ifdown eth1,再ifup eth1,重启eth1网络服务(platos没有systemctl restart network);6、ifconfig就可以看到两张网卡IP都生效了;7、配置路由。配置eth1的明细路由,vi /etc/sysconfig/network-scripts/route-eth1。然后写入 x.x.x.x/x via 网关 dev eth1,保存。然后ifup eth1重启eth1网络服务,再route -n看路由生效了没有。 五、配置接口自动连接(这个不知道要不要配,因为配置文件自动连接已经是yes,400说最好配上,我就配上了)nmtui 输这个命令切到接口配置图形化页面,选择eth1,勾选自动连接:好了,现在这个代理就可以同时连接内外网的设备了!!!
    信服智创 | 参与得豆!2026技术征文大赛正式启幕! 其他技术超融合Ubuntu系统安装 Ubuntu 服务器系统主要通过命令行或web管理界面进行配置和管理。设计优点安全可靠、稳定。承若每6个月发布一个新的版本。针对服务器系统部署,推荐大家使用长期支持的LTS版本。是一个值得企业和个人信赖的开源服务器系统。本次安装教程适合初学者。 一、Ubuntu 22.04.5 LTS下载地址 Ubuntu 22.04.5 LTS服务器系统下载的官方系统地址:https://releases.ubuntu.com/jammy/ 二、超融合Ubuntu 虚拟机的建立 1.点击虚拟机-新增-全新虚拟机。 2.点击名称Ubuntu 22.04.5,操作系统选择Ubuntu。 3.硬件选项里CPU选择8核,内存选择16GB,硬盘选择1TB,光驱加载ISO镜像ubuntu-22.04.5-live-server-amd64.iso,eht0网卡选择物理出口1-确定。 4.虚拟机建立完成。 三、超融合Ubuntu 虚拟机系统的安装 1.点击Ubuntu虚拟机-点击控制台。 2.点击启动,选择ubuntu 系统镜像,点击立即安装。 3.选择*Try or Install Ubuntu Server,回车。 4.选择English,回车。 5.选择默认设置,点击Done。 6.选择默认选项Ubuntu Server,点击Done。 7.选择网卡ens18,回车。 8.选择Edit IPv4,回车。 9.IPv4 Method 选择Manual。 10.设置网段、地址、网关、DNS,选择save。 11.选择Done。 12.选择代理设置默认,Done。 13.软件仓库源地址配置。设置新的Mirror address :https://mirrors.aliyun.com/ubuntu/ 14.选择Continue without updating。 15.硬盘分区选项默认,点击Done。 16.分区默认,点击Done。 17.点击continue,继续。 18.设置系统名称及用户和密码。 19.选择默认,Continue。 20.安装ssh服务。选择安装Install OpenSSH server,选择Done,回车。 21.选择默认,Done。回车。 22.开始安装系统软件。 23.系统软件安装完成后,重启系统。 24.设置root帐户。 25.安装优化工具,输入yes,重启系统,ubuntu系统安装完成。
    信服智创 | 参与得豆!2026征文大赛正式启幕!【排障经验】AES分支部署时验证不通过故障排查全解一、问题描述 在部署EDR(aES)分支节点并尝试将其与上级中心平台进行级联时,系统提示“验证不通过”或“连接失败”,导致分支节点无法成功注册到中心平台。 二、告警信息 管理界面提示:验证不通过、连接失败。 三、处理过程 遵循从外到内、从易到难的顺序进行系统性排查。 1、网络连通性与策略验证 检查端口通信:在上级平台服务器上,使用 telnet 命令,确认访问下级分支的HTTPS端口(默认443)是否通畅。 2、排查中间设备:若出现403错误或连接被拒,需检查防火墙、WAF等中间设备是否拦截了上下级平台间的业务流量。 3、确认基础网络:检查DNS解析是否正确,跨网段部署时确认路由可达。 4、检查SSH服务:确认上下级服务器的SSH服务均已开启,因为部分级联操作依赖SSH通道。 5、授权与配置检查 检查授权许可:登录上级中心平台,确认“分支节点授权”数量充足,未耗尽。 核对配置信息:仔细检查下级分支填写的上级平台IP/域名、端口是否完全正确。 校验接入密钥:确认复制的接入密钥(Token)准确无误,特别注意不能包含多余的空格或换行符。 硬件配置校验 检查硬件资源:针对aES 6.0.2R4及以上版本,需校验分支平台的硬件配置。 关键指标: CPU核数、内存大小需满足分支规模要求。 CPU主频需 ≥1800MHz(可通过 cat /proc/cpuinfo | grep -i mhz 命令查看)。 磁盘读写性能及 /sf 分区空间需达标。 6、日志定位根因 若以上步骤均未解决问题,需登录上级平台后台,实时查看级联日志(/ac/var/log/linkage_sdk/log/)。 在前台触发验证操作,通过 tail -f 命令观察日志输出,根据具体的错误码或异常信息进行精准定位。 四、根本原因 经过上述排查,最终定位到根本原因在于网络策略配置不完整。 底层服务未开启:下级分支平台的SSH服务未启动,导致级联验证的底层通道无法建立。 防火墙策略限制:虽然基础网络(如Ping)可达,但在AF(防火墙)的VPN或安全策略中,并未明确放通EDR平台网段之间的业务流量,导致验证握手包被拦截。 五、解决方案 1、开启SSH服务:登录分支平台后台,启动SSH服务并确保其开机自启。 2、调整防火墙策略:在AF防火墙上,在VPN配置中,本地网段加上总部AES所在内网允许分支访问,确保业务端口通信不受限。 3、重新验证:完成以上两步操作后,返回管理界面重新发起级联验证,问题得以解决。
    • jan
    • 12k
    • 3
    信服智创 | 参与得豆!2026征文大赛正式启幕! 一、背景描述1、客户现有网络有有线无线,均为DHCP获取地址,有线一个网段,无线一个网段;2、使用华为NCE做portal认证;3、新增AC做审计和应用管控(120版本)。拓扑图:【客户需求】1、单位安全事故频发,但网络环境为DHCP,IP经常变,无法快速定位到责任人,需要在AC上进行行为审计,并希望在AC上能定位到终端用户,方便后续溯源;2、对普通员工进行应用管控,领导则不用;3、希望不需要重复认证,只在华为NCE认证即可,以方便统一管理。 【思路】需求1和3解决办法:那AC只能对接华为NCE做单点登录,以获取NCE的用户认证信息,这样就可以快速溯源定位到责任人,终端用户也只需填写一次认证。需求2:难点1、网络为DHCP,领导和普通员工混在一个网段,客户也不想在DHCP那里绑定领导的IP和MAC来固定分配地址,觉得太麻烦,那就无法通过IP做应用管控。难点2、IP不行,那就考虑通过用户来,但是AC不支持将从华为准入系统上来的用户名或组织架构显示在AC本地。这意味着虽然用户能以华为NCE上的用户名在AC上线,但其组织架构信息无法同步到AC的设备本地,因此也无法在AC上直接对这些用户或用户组关联和配置上网权限策略、流控策略等进行精细化管理。GG了,这个不行那个不行的,但天无绝人之路,了解到华为NCE认证是从AD域控同步。用户的组织架构及账号密码信息的,也就是说AC只要对接AD域,就能拿到和NCE一样的。组织架构了,就可以基于用户来做管控。开干!!! 二、配置1、AC旁路部署,从交换机镜像流量过来(这个就不细说了);2、AC对接AD域:接入管理-接入认证-portal认证-认证服务器,新增LDAP服务器,填写相关对接信息,需要一个域管理员权限的账号。AD域如果有开启加密的话,AC这里也要勾开启加密,加密方式与AD域一致即可。然后在用个普通域账号测试有效性即可,这里不做了,对接成功后同步LDAP后,即可在用户管理看到同步过来的组织架构了。3、AC对接华为NCE:AC配置:接入认证-单点登录-第三方设备,选择华为Agile Controller(和华为NCE是一样的,AC这边没做区分),配置对接信息,IP、密钥和端口(华为默认端口8001,两边一致即可)。华为NCE配置 iMaster NCE-Campus使用8445端口进行对接。缺省情况下,iMaster NCE-Campus的8445端口是关闭的,需要在管理面开启(注意,这里8445端口是华为NCE对接行为管理类设备端口,与上文和AC对接8001端口不是一回事)。登录控制器管理面。在主菜单中选择“产品 > 软件管理 > 部署产品软件”,单击“更多 > 修改配置参数”,将“ENABLE_8445(是否启用ACANginx服务的8445端口)”设置为“true”,单击“确定”。在主菜单中选择“准入管理 > 准入策略 > 增值业务”,单击“上网行为管理”页签。单击“创建”,添加上网行为管理设备,填写AC地址,对接端口,加密算法(AC只支持AES128),密钥、认证网段。 对接成功后在AC添加单点登录认证策略,认证服务器选上文配置的NCE。 用户在NCE上线后,即可在AC单点登录上线,可以在在线用户管理-域用户那里看到用户上线,认证方式是单点登录(测试时忘记截图了,随便截个图将就看,是可以看到用户上来了的)。 查看当时认证日志作证,通过华为准入单点登录上线下线。 4、AC配置应用控制策略:这个就正常配置,就对象在域用户那里选。看日志,应用策略有效。 这个时候AC从AD域那里拿到了组织架构,又从华为NCE拿到用户认证信息,就能满足这个客户的需求了,既可以不用重复认证,通过用户名快速溯源,也可以通过用户名来做应用权限管控。
    没有更多了

    哎哟,没有更多内容啦!
    赶紧去多找几个大神关注吧!关注后将在此处优先展示你关注的人发表的最新内容哦!

    哎哟,你还没有关注任何人!
    关注后将在此处优先展示你关注的人发表的最新内容哦!赶紧去找大神吧!

专业 | 开放 | 共享
深信服社区致力于打造开放共享的技术社区。如有问题,可私信管理员 @七嘴八舌bar或联系 0755-86725929
智能客服总接入量 556w+
论坛总帖数 158472

最新疑问 更多>

今日还没有待解决问题

快去提问吧

关注我们了解更多>

关注技术服务公众号

关注微信小程序